Cryptsetup & Luks ~ Chiffrer facilement ses partitions

Mis à jour le , par Jacky Thierry, dans la catégorie #Sécurité & adminsys

Luks chiffrement

A propos de l'auteur

Jacky THIERRY

CTO, Project Manager, Startup owner

Travaillant depuis plus de 15 ans dans le digital, j'ai dirigé de nombreux projets pour des grosses companies mondiales, des agences web, et des associations locales. Je suis spécialisé dans le développement agile avec des équipes outsourcées.

  • Jacky Thierry linkedin
  • Jacky Thierry twitter
  • Jacky Thierry instagram
  • Jacky Thierry RSS feed
Jacky Thierry

Afin de bien protéger ses données, il convient d’utiliser un chiffrement fort sur ses disques ou ses partitions. Cryptsetup convertit les partitions au type LUKS ou PLAIN et permet d’utiliser celles ci comme des partitions normales, de manière transparente.

Chiffrer une partition en luks ou plain

La première étape est bien entendu de chiffrer la partition désirée. Attention, toutes les données sur la partition seront effacées, il faut bien sauvegarder avant.
Il est possible de chiffrer en luks ou en plain. Une partition chiffrée en luks possédera des métadatas, qui rendra la gestion de la partition plus aisée et plus complète (on peut par exemple mettre jusqu’à 8 mot de passes différents). Il n’y a pas ces métadatas en plain, ce qui rend le disque plus fiable en cas de problème (un dommage sur un des clusters du métadatas, et toute la partition peut devenir illisible). Personnellement, la fiabilité du disque m’important plus que quelques fonctionnalités que je n’utilise pas, j’ai choisi de mettre mes partitions en plain.

Chiffrer en plain

cryptsetup luksFormat -c aes-xts-plain64 -s 512 -h sha512 /dev/sda9

Chiffrer en luks

cryptsetup luksFormat -c aes -h sha512 /dev/sda9
Entrer YES en majuscule pour autoriser la création, puis renseigner le mot de passe (un mot de passe fort contient au minium 8 caractères, des majuscules, des chiffres et des signes).

Monter une partition chiffrée avec cryptsetup

Une partition chiffrée est semblable à une partition ordinaire, à cela près qu’elle a besoin d’être décryptée avant d’être utilisée. Une fois décodée, la partition apparaît dans le dossier /dev/mapper/ et se manipule de la même manière que toutes les autres partitions.

  • Il faut tout d’abord déchiffrer la partition et lui donner un nom
    cryptsetup luksOpen /dev/sda9/ lenomdemapartition
  • Après le premier montage, il faut formater
    mkfs.ext4 /dev/mapper/lenomdemapartition
  • Puis la monter dans un dossier
    mount /dev/mapper/lenomdemapartition /dossier
  • Enfin, après utilisation, on peut la fermer
    umount -l /dossier && cryptsetup luksClose lenomdemapartition

Voila comment chiffrer et utiliser simplement et efficacement une partition afin de protéger ses données.